DFN-CERT-2012-0174 Schwachstellen in Apache Tomcat [Unix][Solaris]

DFN-CERT-2012-0174 Schwachstellen in Apache Tomcat [Unix][Solaris]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Apache Tomcat

Betroffene Plattformen:

Solaris 10 SPARC ohne Patch 122911-28
Solaris 10 X86 ohne Patch 122912-28
Solaris 9 SPARC ohne Patch 114016-10
Solaris 9 X86 ohne Patch 114017-09

Zwei Schwachstellen in Apache Tomcat ermöglichen einem lokalen Angreifer
einen Denial-of-Service Zustand (DoS) herbeizufÃŒhren oder Zugriff auf
sensible Daten zu erlangen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

https://login.oracle.com/mysso/signon.jsp

CVE-2011-2204: Schwachstelle in Apache Tomcat

Bei der Verwendung der Funktion “MemoryUserDatabase” speichert der Apache
Tomcat in den Versionen 5.5.x vor Version 5.5.34, 6.x vor Version 6.0.33 und
7.x vor Version 7.0.17 in einigen FehlerfÀllen LogeintrÀge, die sensible
Informationen enthalten können. Einem lokalen Angreifer ist es damit
möglich, Zugriff auf sensible Informationen zu erhalten, indem die Inhalte
der Log-Datei ausgelesen werden.

CVE-2011-2526: Schwachstelle in Apache Tomcat

Falls in Apache Tomcat in den Versionen 5.5.x vor Version 5.5.34, 6.x vor
Version 6.0.33 und 7.x vor Version 7.0.19 bestimmte Optionen fÃŒr die “APR”
und “NIO” Connector-Module gesetzt sind (z.B. “sendfile”), werden einige
Attribute bei Anfragen nicht geprÃŒft. Einem lokalen Angreifer ist es damit
möglich, die Auswertung von Zugriffsrechten bei Dateien zu umgehen und somit
Zugriff auf Teile von Dateien zu erhalten, oder einen Denial of
Service-Angriff durch eine Endlosschleife oder einen Absturz der JVM
durchzufÃŒhren.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-0174/

Das Hersteller Advisory:
http://blogs.oracle.com/sunsecurity/entry/multiple_vulnerabilities_in_apache_tomcat2

Schwachstelle CVE-2011-2204:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2204

Schwachstelle CVE-2011-2526:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2526

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben